обнаружение виртуальной машины

UbIvItS · 17 мар 2008

а о каких артифактах виртуалки можно говорить, если будет идти эмуляция фактически всего: харда, рэма......?????

2FED · 17 мар 2008

[eax.context_eip]

Какое смещение у context_eip?

valterg · 17 мар 2008

UbIvItS

если будет идти эмуляция фактически всего: харда,
Нажмите, чтобы раскрыть...

Ты подсказал ответ. Никто не будет эмулировать железо харда слишком тщательно -
это не нужно и накладно. Наверняка в ring3 что-то можно заюзать для детекта?
Правда VmWare позволяет с физ-диском работать, но думаю она все равно
что-то режет, чтобы не зависнуть...
БИОС опять же спецефический ?

rei3er · 17 мар 2008

БИОС опять же спецефический ?
Нажмите, чтобы раскрыть...

можно использовать копию образа BIOS хостовой машины
вообще говоря, я не думаю, что возможен детект програмной эмуляции
при условии, что эмулируется на 100% все окружение, и причем правильно
другое дело, что это катастрофически снизит производительность конечной системы

UbIvItS · 17 мар 2008

rei3er

при условии, что эмулируется на 100% все окружение, и причем правильно
Нажмите, чтобы раскрыть...

а зачем эмулить сразу всё??? нужно эмулить: проц, оперативку, винт - всё остальное юзать как оно есть: артефакты эмуля могут быть только в этих трёх местах.

rei3er · 17 мар 2008

а зачем эмулить сразу всё??? нужно эмулить: проц, оперативку, винт - всё остальное юзать как оно есть: артефакты эмуля могут быть только в этих трёх местах.
Нажмите, чтобы раскрыть...

ага
предоставлять прямой доступ к периферии
умно

UbIvItS · 17 мар 2008

rei3er

предоставлять прямой доступ к периферии
Нажмите, чтобы раскрыть...

прямой - то прямой, только он по-любому идёт через эмуль проца, так что в итоге не совсем прямой
ну, вызовет прога прерывания железки, а кто обрабатывать его будет???) - прога?
попытается перепрошить железку)??

Flint_ta · 7 сен 2009

Подниму старую тему, сейчас обнаружил баг при трассировке в Olly на virtualbox.
Раньше при выполнении команды rdtsc virtualbox падала, сейчас выполняет сразу 2 инструкции (rdtsc и нижеследующую).

Т.о. следующим кодом можно спалить трассировку на virtualbox

Код (Text):

.586

.model small, stdcall

option casemap :none

include \MASM32\INCLUDE\user32.inc

include \MASM32\INCLUDE\kernel32.inc

includelib \MASM32\LIB\kernel32.lib

includelib \MASM32\LIB\user32.lib

; #########################################################################

.data

tit db "Сообщение",0

mess1 db "Трассировка не обнаружена", 0

mess2 db "Трассировка на VirtualBox обнаружена", 0

.code

start:

RDTSC

PUSHFD

POP EAX

AND EAX,0100h

ADD EAX, offset metka

JMP EAX

metka:

PUSH 0

PUSH offset tit

PUSH offset mess1

PUSH 0

CALL MessageBoxA

PUSH 0

CALL ExitProcess

zero db 230 dup (?)

PUSH 0

PUSH offset tit

PUSH offset mess2

PUSH 0

CALL MessageBoxA

PUSH 0

CALL ExitProcess

end start

; #########################################################################

Может кто-то копнет поглубже, наверняка всплывет что-то интереснее

Войти или зарегистрироваться

обнаружение виртуальной машины

UbIvItS Well-Known Member

2FED New Member

valterg Active Member

rei3er maxim

UbIvItS Well-Known Member

rei3er maxim

UbIvItS Well-Known Member

Flint_ta New Member

Войти или зарегистрироваться

обнаружение виртуальной машины

UbIvItS Well-Known Member

2FED New Member

valterg Active Member

rei3er maxim

UbIvItS Well-Known Member

rei3er maxim

UbIvItS Well-Known Member

Flint_ta New Member

Быстрый поиск